vmp动态打补丁时机问题

q2533714 · 发表于 2013-1-23 20:41

本帖最后由 q2533714 于 2013-1-23 20:44 编辑

最近看到好多人都问vmp动态大补丁的时机问题，其实这个很好想的

延时为10，反复测试打补丁的地址数据是否变化了就行了

如果不懂，请继续看
=====================
正常的壳子  程序原先的代码段会被空出来的刚装载后只有
0045F65B 0000          ADD BYTE PTR DS:[EAX],AL
0045F65D 0000          ADD BYTE PTR DS:[EAX],AL
0045F65F 0000          ADD BYTE PTR DS:[EAX],AL
0045F661 0000          ADD BYTE PTR DS:[EAX],AL
0045F663 0000          ADD BYTE PTR DS:[EAX],AL
0045F665 0000          ADD BYTE PTR DS:[EAX],AL
0045F667 0000          ADD BYTE PTR DS:[EAX],AL
0045F669 0000          ADD BYTE PTR DS:[EAX],AL
0045F66B 0000          ADD BYTE PTR DS:[EAX],AL
这样的代码

只有解码以后才会变化  就这么简单

另外比较可靠一点的方法是hook 修改程序启动优先调用的几个函数

zhouhaoxiang · 发表于 2013-1-23 21:45

提示: 作者被禁止或删除内容自动屏蔽

qq409302861 · 发表于 2013-1-23 20:54

等待解码后打补丁即可

d214800040 · 发表于 2013-1-23 20:47

这个文章很有深度啊...研究

a598764209 · 发表于 2013-1-23 22:09

不错有点深度

a13686593572 · 发表于 2013-1-23 21:53

请问楼主壳启动的时候有内存校验怎么办。校验过了然后程序也跑飞了，过了代码修改时间。请问怎么解决

a13686593572 · 发表于 2013-1-24 01:16

点评

q2533714 呵呵我只是不断去访问一下特定的地址没做修改你说内存校验会检测到吗另外vmp的内存校验基本都是在vm段内的对被vm的代码进行的发表于 2013-1-23 22:34
-----------------------------------------------------------------------------------
检测只在VM段？
为什么我在Push窗口都被检测了，这个地方是没有被VM的，求解...

q2533714 · 发表于 2013-1-24 18:14

本帖最后由 q2533714 于 2013-1-24 18:16 编辑

a13686593572 发表于 2013-1-24 01:16
点评

q2533714 呵呵我只是不断去访问一下特定的地址没做修改你说内存校验会检测到吗另外vmp的内存校 ...

呵呵我说的是大多数 vmp的壳子内存校验挺强悍另外现在的作者基本上都开始sdk了难度陡增我还是建议找准时机 hook 来 hook去

五菱 · 发表于 2013-3-14 01:29

是怎么hook呀，我是没看明白，请大神能给个详细事例最好了

a277683013 · 发表于 2013-3-14 10:58

诶，代码都看不懂不谈测试了

帐号		自动登录	找回密码
密码			注册[Register]

zhouhaoxiang zhouhaoxiang 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	zhouhaoxiang 发表于 2013-1-23 21:45 提示: 作者被禁止或删除内容自动屏蔽
	【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
	回复支持 3 举报

[原创] vmp动态打补丁时机问题

点评

点评

点评